Обзор подготовлен аналитиком УЦСБ Юлией Новоселовой.
Пассажирские автобусы, грузоперевозки и защита информации
В соответствии с приказом Минтранса разработка, производство и техническое обслуживание карт и блоков СКЗИ тахографа должны осуществляться в соответствии с ПКЗ-2005. Таким образом, для разработчиков и мастерских, выпускающих и обслуживающих тахографы и карты, становится необходимым получение соответствующей лицензии ФСБ России. При этом транспортные компании, использующие в своих транспортных средствах тахографы, обладающие возможностью передачи информации по открытым каналам связи GSM/GPRS, также подпадают под требования лицензируемой деятельности.
Кроме того, карты тахографа должны соответствовать требованиям к материальным носителям биометрических ПДн, а система разграничения доступа к ним — требованиям к защите ПДн при их обработке в ИСПДн. Помимо этого, установка тахографов предполагает использование квалифицированной электронной подписи.
По мнению экспертов, данные требования создают новые сегменты рынков СКЗИ и ЭП, а также значительно расширяют список потенциальных лицензиатов ФСБ России.
Минкомсвязь стоит на защите прав абонентов
Первая часть изменений устанавливает необходимость получения прямого согласия абонентов на предоставление контентных услуг и списание денежных средств с их лицевых счетов. Помимо этого, в проекте закона предлагается закрепить необходимость информирования пользователей о стоимости и содержании услуг до получения их согласия на предоставление услуг.
Вторая часть законопроекта вводит ограничение на осуществление SMS-рассылок, а также позволяет оператору связи фильтровать сообщения и блокировать рассылки, отнесенные к спаму.
Совершенствование КоАП
Страны с адекватной защитой ПДн
При сопоставлении утвержденного Роскомнадзором перечня с европейским, пересечение будет только по четырем странам: Аргентине, Австралии, Канаде и Швейцарии.
Стоит отметить, что вопрос, связанный с определением перечня иностранных государств, обеспечивающих адекватную защиту ПДн, не является столь критичным и связан лишь с небольшим упрощением процедуры трансграничной передачи ПДн в страны, попавшие в него.
Новинки NIST
NIST опубликовал проект документа Special Publication 800-162 Guide to Attribute Based Access Control (ABAC) Definition and Considerations, который определяет базовые понятия и методологию атрибутного управления доступом (ABAC), а также содержит рекомендации по его использованию.
Методология атрибутного управления доступом заключается в предоставлении субъекту разрешения на выполнение операций с объектом на основе вычисления значений набора атрибутов, связанных с субъектом, объектом и запрашиваемыми операциями.
Документ содержит описание основных функциональных компонентов и сценариев использования атрибутного управления доступом, рассматривает конкретные механизмы его реализации и принципы внедрения на предприятии.
Еще одним новым документом NIST, опубликованным в апреле, является NIST IR-7924 Reference Certificate Policy, представляющий собой шаблон Политики применения сертификатов, содержащий инструкции и пояснения по доработке политики для конкретной организации. Документ определяет политику безопасности в отношении применения сертификатов на всех этапах жизненного цикла, начиная от их генерации и заканчивая аннулированием или истечением срока действия, а также регламентирует операционную работу удостоверяющих центров. В состав мер, направленных на обеспечение безопасности сертификатов, входит: